Приветствую.
Решил освоить squid, прочитал некотрое количество мануалов, вроде бы все понятно и достаточно разжовано, но как всегда это бывает в linux, без вопросов к гуру обойтись не получается.
Проблема возникла в следующем, сделал я несколько правил -группы -ограничение трафика и тд, конфиг ниже, все работает до поры до времени, потом трафик обрубает и никакие пляски с бубном не помогают, squid перегружал, вплоть до ifdown -i... и ребутов всей машины целиком.
Простой пример, запускаю браузер (естественно на другой машине) хочу увидеть gmail.com, squid машинка замирает, через пару минут (на клиенте) вижу ответ в браузере, мол нет такого адреса, типа DNS имени неприсвоено такого.
--вот что кажет tcpdump в этот момент
>tcpdump -i eth207:48:11.129589 arp reply LS-Router is-at 00:18:39:c9:93:1e (oui Unknown)
07:48:12.004691 IP 10.10.10.7.1058 > LS-Router.domain: 54850+ A? www.gmail.com. (31)
07:48:13.516863 IP LS-Router.domain > 10.10.10.7.1058: 54850 6/7/5 CNAME[|domain]
07:48:18.513015 arp who-has 10.10.10.7 tell LS-Router
07:48:18.513069 arp reply 10.10.10.7 is-at 00:c0:26:2d:ad:08 (oui Unknown)
07:50:02.395043 IP 10.10.10.7.netbios-dgm > 10.10.10.255.netbios-dgm: NBT UDP PACKET(138)
Вкратце опишу, что за squid сервер у меня, старенький cel 700, 128 рам, 2 интерфейса eth0 и eth2, eth1 от чего-то не захотел присваиваться второй сетевухе, да и черт бы с ним, те что установлены (eth0 и eth2) работают без проблем. Значится eth0 смотрит во внутреннюю сетку 192.168.1.0, а eth2 )10.10.10.7) смотрит на роутер от провайдера- "LS-Router" с ip 10.10.10.1.
Вот кусок конфига который отвечает за правила раздачи трафика и группы. Тестовый клиент в группе it.
-----------------------
#My rls!
#Allow and Deny groups to access inet
acl localnet src 192.168.1.0/255.255.255.0
acl it src 192.168.1.234
acl buh src 192.168.1.106 192.168.1.199 192.168.1.10
http_access allow it
http_access allow buh
http_access deny all
#Deny domains
acl fuck_sitewarez dstdomain .nnm.ru .kpnemo.ru
acl fuck_odnokl dstdomain .odnoklassniki.ru
http_access deny it fuck_sitewarez
http_access deny all fuck_odnokl
#Deny sites by masks
acl SitesRegexSex dstdom_regex sex
acl SitesRegexAz dstdom_regex \.az$
http_access deny all SitesRegexSex
http_access deny all SitesRegexAz
#Deny downloads with sex and avi in filenames
acl NoAviFromSex url_regex -i sex.*\.avi$
http_access deny all NoAviFromSex
#Deny downloads with specific formats
acl media urlpath_regex -i \.mp3$ \.avi$ \.wma$
http_access deny all media
#Deny some ports, e.g. Mirc
acl Mirc port 6667-6669 7770-7776
http_access allow it Mirc
http_access deny all Mirc
#Deny some protocols, e.g FTP
acl ftpproto proto ftp
http_access allow it ftpproto
http_access deny all ftpproto
#Delay_pools
delay_pools 5
#speed limit for downloading media content
delay_class 1 1
delay_parameters 1 3000/3000
delay_access 1 allow media
delay_access 1 deny all
#speed limit for some individual user
#delay_class 2 1
#delay_parameters 2 4000/4000
#delay_access 2 allow someUser
#delay_access 2 deny all
#speed limit for group buh
delay_class 3 2
delay_parameters 3 20000/20000 10000/10000
delay_access 3 allow buh
delay_access 3 deny all
#speed limit for group it
delay_class 4 2
delay_parameters 4 50000/50000 40000/40000
delay_access 4 allow it
delay_access 4 deny all
#speed limit for all others
delay_class 5 2
delay_parameters 5 15000/15000 10000/10000
delay_access 5 deny media
#delay_access 5 deny someUser
delay_access 5 deny buh
delay_access 5 deny it
delay_access 5 allow localnet
delay_access 5 deny all
------------------------------------------------
Продолжение истории- Через некоторое время gmail загрузился очень даже шустро, а спустя минут 15 squid снова отказался давать трафик. Что я намудрил с правилами? или может быть у меня DNS как то особенно надо настроить?
Конфиг сетевушек:
----------------------------
"/etc/network/interfaces"
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.1.128
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.250
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.1.250
dns-search amba
#added eth2
auto eth2
allow-hotplug eth2
iface eth2 inet static
address 10.10.10.7
netmask 255.255.255.0
network 10.10.10.0
broadcast 10.10.10.255
gateway 10.10.10.1
dns-nameservers 10.10.10.1
---------------
amba -мой домен внутренней сетки.
---------------
"/etc/resolv.conf"
search amba
nameserver 10.10.10.1
nameserver 192.168.1.250
nameserver 192.168.1.1
nameserver 212.44.64.6